22 | <strong>IT</strong> SECUR<strong>IT</strong>Y Bild 2: Trotz Angriffserkennungssystemen sollte der Fokus in der <strong>IT</strong>-Sicherheit auf einer proaktiven Absicherung der Systeme im Netz liegen, zum Beispiel mittels einer Zero-Trust-basierten Mikrosegmentierung. cognitix Threat Defender Internet Datenpakete oder Verbindungen. Sie betrachten keinen größeren Kontext, wie zum Beispiel gleichzeitig laufenden Datenverkehr von anderen Anwendungen auf dem System, vorhergehende und nachfolgende Kommunikation oder Steuerkommunikation wie DNS-Anfragen. Sie haben auch keine Informationen über den Anwendungskontext innerhalb der einzelnen Applikationen und Systeme. Sie können nur spekulieren, welche Auswirkungen die übertragenen Daten auf das Zielsystem haben werden. Eine netz-, system- und anwendungsübergreifende Aggregation und Korrelation dieser Information in Analyse-Systemen kann zwar tiefere Einblicke geben, führt allerdings wiederum zu steigender Komplexität. KI-basierte Analysen können auch hier wieder helfen, die Komplexität handhabbar zu machen. Optimale Einsatzumgebung Angriffserkennungssysteme, egal ob regelbasiert, KI oder hybrid, werden mit zunehmender Komplexität der zu analysierenden Kommunikation immer weniger hilfreich. Der Fokus sollte daher auf einer proaktiven Absicherung der Systeme im Netz liegen, also einer Beschränkung der Kommunikationsmöglichkeiten im Netz auf das erforderliche Minimum, zum Beispiel mittels einer Zero-Trust-basierten Mikrosegmentierung. Dieses Vorgehen senkt sowohl die Angriffsfläche für eine initiale Infektion als auch die Möglichkeiten für eine nachfolgende laterale Ausbreitung des Angreifers und reduziert damit das Schadenspotential. Aufbauend darauf sollten klar verständliche kuratierte Regeln, idealerweise kontextübergreifend über Pakete, Verbindungen, Anwendungen und Systeme hinweg, eine Klassifikation des ver- KI-BASIERTE ANGRIFFS- ERKENNUNGSSYSTEME IN NETZEN KÖNNEN HILFREICH SEIN. SIE SIND ABER KEIN MAGI- SCHER ZAUBERSTAB, DER DIE PROBLEME ALLEINE LÖST. Steffen Ullrich, <strong>IT</strong>-Sicherheitsexperte, genua GmbH, www.genua.de bleibenden Datenverkehrs vornehmen, das heißt, klar Bösartiges zu blockieren und klar Gutartiges durchzulassen. In den Fällen, bei denen über Regeln keine solide Klassifizierung erfolgen kann, können dann KI-Modelle herangezogen werden. Auf diese Weise spielen proaktive Sicherheit, einfache aber verständliche Regeln und komplexe aber leistungsfähigere KI-Modelle ihre jeweiligen Stärken optimal aus. Fazit KI-basierte Angriffserkennungssysteme in Netzen können hilfreich sein. Sie sind aber kein magischer Zauberstab, der die Probleme alleine löst. Sie sollten kombiniert werden, und zwar mit einer proaktiven Absicherung des Netzes zur Minimierung von Angriffsflächen, lateraler Ausbreitung und Schadenspotential sowie einer regelbasierten Angriffserkennung zur Behandlung offensichtlicher Fälle und der Eliminierung von False Positives der nachfolgenden KI. Beim Design der Merkmale für die KI sollte fachspezifische Expertise über das konkrete Netz und die verwendeten Kommunikationsmuster und -protokolle und die erwarteten Angriffsmuster einfließen – was im OT-Umfeld oft anders aussieht als in der <strong>IT</strong>. Nur wenn sie möglichst gut an die Arbeitsumgebung angepasst und nicht von Komplexität überfordert ist, kann Angriffserkennung ihr Potential optimal ausspielen. Steffen Ullrich <strong>März</strong>/<strong>April</strong> 2023 | www.it-daily.net
mehr als nur tägliche <strong>IT</strong>-News! SCAN ME